Hallo zusammen,

ich wollte mal fragen, ob es eine Möglichkeit gibt, einer Datei (z.B. eine DLL) eine Signatur mitzugeben, mit der andere Programme (z.B. Anti-Viren-Programme) erkennen können, welchen Ursprung sie besitzen.

Der konkrete Fall würde dann so aussehn:
- Ein Benutzer installiert ein Programm durch eine *.msi-Datei
- Diese *.msi-Datei erstellt bei der Installation eine DLL-Datei (z.B. vnchook.dll)
- Viele Firewalls/Anti-Viren-Programme stufen diese DLL als gefährlich ein (z.B. weil über sie ein VNC-Zugriff erfolgen kann)
- Durch die Signatur der DLL wird aber klar, dass diese DLL keine Schadsoftware ist sondern von einem vertrauenswürdigen Hersteller erzeugt wurde
- Die Einstufung wird zurückgesetzt

Mir ist natürlich bewusst, dass es unzählige Trojaner gibt, die diese vnchook.dll auch mitliefern.
Allerdings ist es als Hersteller von Software, die eine VNC-Funktion (als HelpDesk) beinhaltet, äußerst aufwendig, dass der VNC-Zugriff von Firewalls von Haus aus geblockt wird.
Es ist dann jedesmal nötig mit dem Kunden zu telefonieren und ihm zu beschreiben, wie er das Programm/DLL in die Ausnahmeliste seiner Firewall eintragen kann.

Nein es ist (praktisch) nicht möglich, vor allem müsste dies ja dann auch extrem fälschungssicher sein und zertifiziert (Kosten, Aufwand) werden.
Es wäre übrigens auch Aufgabe einer sogar vernünftigen Firewall auch zertifizierten Müll zu blocken bzw. es ist ja auch ein Kritikpunkt an den Kiddie-Firewalls, dass sie dem dummen Nutzer ungefragt Sachen abnehmen und Diverses ungefragt zulassen, was dieser aber vielleicht gar nicht haben will.

Zitat:

Zitat von Shadow

Nein es ist (praktisch) nicht möglich, vor allem müsste dies ja dann auch extrem fälschungssicher sein und zertifiziert (Kosten, Aufwand) werden.
Es wäre übrigens auch Aufgabe einer sogar vernünftigen Firewall auch zertifizierten Müll zu blocken bzw. es ist ja auch ein Kritikpunkt an den Kiddie-Firewalls, dass sie dem dummen Nutzer ungefragt Sachen abnehmen und Diverses ungefragt zulassen, was dieser aber vielleicht gar nicht haben will.

Von diesem Standpunkt betrachtet gebe ich dir natürlich vollkommen recht.

Angenommen, ein Programm beinhaltet z.B. eine Funktion, um per VNC auf den Desktop des Kunden zugreifen zu können. Diese Funktion basiert im wesentlichen auf dem OpenSource-Project UltraVNC (h**p://sourceforge.net/projects/ultravnc/). Bei der Installation des Programms werden u.a. auch Datein wie "vnchooks.dll" mitgeliefert. Diese Dateien werden dann leider von vielen Firewalls/Virenprogrammen als bösartig eingestuft.

Mir ist natürlich bewusst, dass viele Torjaner u.ä. Programme gleichnamige Dateien mit einschleusen. Weisen diese jedoch nicht eine andere Signatur auf als die herkömmliche vnchooks.dll? Wie ist es möglich, hier eine Unterscheidung zu fällen?

Im professiopnellen Umfeld gibt es übrigens genügend Fernwartungs-/Hilfetools die zumindest durch normale (nicht "Personal-" oder "Desktop-")Firewalls durchkommen (mit PFs nicht getestet).

Zitat:

Zitat von Shadow

Im professiopnellen Umfeld gibt es übrigens genügend Fernwartungs-/Hilfetools die zumindest durch normale (nicht "Personal-" oder "Desktop-")Firewalls durchkommen (mit PFs nicht getestet).

Bleibt die Fragen, welche Tools das sind.
Dabei ist allerdings davon auszugehn, dass diese Tools auf keinem OpenSoure-Project beruhen und daher deren Dateien nicht von Trojanern misbraucht werden.
Verwendet man nämlich UltraVNC als Grundlage für Fernwartungstools ist es notwendig einige Dateien mit einzubeziehen (eben vnchooks.dll), welche auch von Trojanern verwendet/eingeschleust werden.

Zitat:

Zitat von Gooner85

Bleibt die Fragen, welche Tools das sind.

Ich könnte nachsehen und dir eine (kleine) "Liste" zusammensuchen.

Zitat:

Zitat von Gooner85

Dabei ist allerdings davon auszugehn, dass diese Tools auf keinem OpenSoure-Project beruhen

Davon ist nicht nur auszugehen, sondern es ist so. Deshalb ist das Zeug mitunter auch deutlich teuer, wird erst im großen Stil "pro Einsatz" halbwegs günstig.

Zitat:

Zitat von Gooner85

und daher deren Dateien nicht von Trojanern misbraucht werden.

Ich tippe drauf, dass du Backdoors meinst. Allerdings hat eine Urheberrechtsverletzung Malware bisher selten aufgehalten. Aber die offene und allgemeine Verfügbarkeit einer Open-Source-Lösung macht es halt für alle Seiten einfacher und billiger.